11. Управление рисками проекта

Автор: pmi.org 09 Июня 2009, 23:22

Управление рисками проекта включает в себя процессы, относящиеся к планированию управления рисками, их идентификации и анализу, реагированию на риски, мониторингу и управления рисками проекта. Большинство из этих процессов подлежат обновлению в ходе проекта. Цели управления рисками проекта – повышение вероятности возникновения и воздействия благоприятных событий и снижение вероятности возникновения и воздействия неблагоприятных для проекта событий. На рис. 11-1 приведена общая схема процессов управления рисками проекта, а на рис. 11-2 показана диаграмма зависимостей этих процессов и их входы, выходы и другие процессы из данной области знаний. Процессы управления рисками проекта включают в себя следующее:

11.1 Планирование управления рисками – выбор подхода, планирование и выполнение операций по управлению рисками проекта.

11.2 Идентификация рисков – определение того, какие риски могут повлиять на проект, и документальное оформление их характеристик.

11.3 Качественный анализ рисков – расположение рисков по степени их приоритета для дальнейшего анализа или обработки путем оценки и суммирования вероятности их возникновения и воздействия на проект.

11.4 Количественный анализ рисков – количественный анализ потенциального влияния идентифицированных рисков на общие цели проекта.

11.5 Планирование реагирования на риски – разработка возможных вариантов и действий, способствующих повышению благоприятных возможностей и снижению угроз для достижения целей проекта.

11.6 Мониторинг и управление рисками – отслеживание идентифицированных рисков, мониторинг остаточных рисков, идентификация новых рисков, исполнение планов реагирования на риски и оценка их эффективности на протяжении жизненного цикла проекта.

Эти процессы взаимодействуют как друг с другом, так и с процессами из других областей знаний. В зависимости от потребностей проекта в каждом процессе могут принимать участие один или несколько человек или групп. Каждый процесс имеет место по крайней мере один раз в ходе каждого проекта, а если проект разделен на фазы – то в одной или нескольких фазах проекта. Хотя в данном руководстве процессы представлены как дискретные элементы с четко определенными интерфейсами, но на практике они могут накладываться друг на друга и взаимодействовать между собой; такие наложения и взаимодействия здесь не описаны. Взаимодействия процессов подробно рассматриваются в главе 3.

Риск проекта – это неопределенное событие или условие, которое в случае возникновения имеет позитивное или негативное воздействие по меньшей мере на одну из целей проекта, например сроки, стоимость, содержание или качество (т. е. в зависимости от конкретного проекта: когда цель проекта определена как сдача результатов согласно определенному расписанию или как сдача результатов, не превышающих по стоимости оговоренный бюджет и т. д.). Риск может быть вызван одной или несколькими причинами и в случае возникновения может оказывать влияние на один или несколько факторов. Например, причиной риска может быть необходимость получения разрешения от местного Комитета по охране окружающей среды или недостаток персонала, привлеченного для разработки проекта. Наступлением риска в этих случаях будет задержка с выдачей разрешения или нехватка персонала, привлеченного для разработки проекта. Возникновение любого из этих точно не известных заранее событий может повлиять на стоимость проекта, его расписание или выполнение. К условиям возникновения риска могут также относиться аспекты внешней среды организации или проекта, способствующие увеличению риска (например, неудачный выбор методов при управлении проектом, отсутствие общих систем управления, одновременное выполнение нескольких проектов или зависимость от внешних участников проекта, которых невозможно контролировать).

Рисунок 11-1. Общая схема управления рисками проекта

Причиной возникновения риска является неопределенность, которая присутствует во всех проектах. Известные риски – это те риски, которые идентифицированы и подвергнуты анализу. В отношение таких рисков можно спланировать ответные действия с помощью процессов, описанных в данной главе. Но для неизвестных рисков спланировать ответные действия невозможно. В таких случаях разумным решением для команды проекта является выделение общего резерва на непредвиденные обстоятельства, в который будут включены эти неизвестные риски, а также все известные риски, для которых разработка конкретных мер реагирования не представляется экономически эффективной или возможной.

Организации принимают во внимание риски в той степени, в какой они соотносятся с угрозами проекта или с благоприятными возможностями, повышающими вероятность успешного выполнения проекта. Риски, представляющие собой угрозу для проекта, могут приниматься в том случае, если риск соразмерен выгоде, которую можно получить, приняв этот риск. Например, принятие расписания, составленного с помощью метода "быстрого прохода" (раздел 6.5.2.3), которое может быть нарушено, является риском, предпринятым для более раннего окончания проекта. Риски, представляющие собой благоприятные возможности (например, ускорение работ за счет привлечения дополнительного персонала), могут приниматься для наилучшего достижения целей проекта.

Отношение к риску со стороны отдельных людей и – в более крупных масштабах – организаций обусловлено их пониманием риска и ответной реакцией на возникновение риска. Там, где это возможно, отношение к риску должно быть выражено в явной форме. Для каждого проекта должен быть разработан последовательный подход к риску, удовлетворяющий требованиям организации, а информация о риске и управлении им должна быть открытой и достоверной. Реагирование на риски отражают то, как организация понимает баланс между принятием риска и уклонением от риска.

Для достижения успеха на протяжении всего проекта организация должна предпринимать заранее и последовательно предупредительные меры по управлению рисками.

Примечание: Показаны не все взаимодействия процессов и не все потоки данных между процессами.

Рисунок 11-2. Диаграмма зависимостей процессов для процесса управления рисками Проекта

11.1 Планирование управления рисками

Тщательное и подробное планирование повышает вероятность успешного достижения результатов пяти других процессов управления рисками. Планирование управления рисками – это процесс определения подходов и планирования операций по управлению рисками проекта. Планирование процессов управления рисками позволяет обеспечить соразмерность уровня, типа и прозрачности управления рисками как самому риску, так и значению проекта для организации, а также выделить достаточное количество времени и ресурсов для выполнения операций по управлению рисками и определить общее основание для оценки рисков. Процесс планирования управления рисками должен быть завершен на ранней стадии планирования проекта, поскольку он крайне важен для успешного выполнения других процессов, описанных в данной главе.

Рисунок 11-3. Планирование управления рисками: входы, инструменты и методы, выходы

11.1.1 Планирование управления рисками: входы

.1 Факторы внешней среды предприятия

Отношение к риску и толерантность к риску организаций и лиц, участвующих в проекте, оказывает влияние на план управления проектом (раздел 4.3). Отношение к риску и толерантность к риску могут быть зафиксированы в изложении основных принципов или проявляться в конкретных действиях (раздел 4.1.1.3).

.2 Активы организационного процесса

Организации могут иметь заранее разработанные подходы к управлению рисками, например категории рисков, общие определение понятий и терминов, стандартные шаблоны, схемы распределения ролей и ответственности, а также определенные уровни полномочий для принятия решений.

.3 Описание содержания проекта

Описание см. в разделе 5.2.3.1.

.4 План управления проектом

Описание см. в разделе 4.3.

11.1.2 Планирование управления рисками: инструменты и методы

.1 Совещания по планированию и анализ

Команда проекта проводит совещания для разработки плана управления рисками. В совещаниях могут принимать участие менеджер проекта, отдельные члены команды проекта и участники проекта, представители организации, отвечающие за операции по планированию рисков и реагированию на них, и, при необходимости, другие лица.

На таких совещаниях составляются базовые планы по проведению операций по управлению рисками. Также разрабатываются элементы стоимости рисков и плановые операции, которые включаются соответственно в бюджет проекта и расписание. Утверждается распределение ответственности в случае наступления риска. Имеющиеся в организации общие шаблоны, касающиеся категорий рисков и определения терминов (например, уровни рисков, вероятность возникновения рисков по типам, последствия рисков для целей проекта по типам целей, а также матрица вероятности и последствий), приспосабливаются для каждого конкретного проекта с учетом его специфики. Выходы этих операций сводятся в план управления рисками.

11.1.3 Планирование управления рисками: выходы

.1 План управления рисками

План управления рисками содержит описания структуры управления рисками проекта и порядок его выполнения в рамках проекта. Этот план включается в состав плана управления проектом (раздел 4.3). План управления рисками включает в себя следующие элементы:

• Методология. Определение подходов, инструментов и источников данных, которые могут использоваться для управления рисками в данном проекте.
• Распределение ролей и ответственности. Список позиций выполнения, поддержки и управления рисками для каждого вида операций, включенных в план управления рисками, назначение сотрудников на эти позиции и разъяснение их ответственности.
• Разработка бюджета. Выделение ресурсов и оценка стоимости мероприятий, необходимых для управления рисками. Эти данные включаются в базовый план по стоимости проекта (раздел 7.2.3.1).
• Сроки. Определение сроков и частоты выполнения процесса управления рисками на протяжении всего жизненного цикла проекта, а также определение операций по управлению рисками, которые необходимо включить в расписание проекта (раздел 6.5.3.1).
• Категории рисков. Структура, на основании которой производится систематическая и всесторонняя идентификация рисков с нужной степенью детализации; такая структура способствует повышению эффективности и качества идентификации рисков. Организация может использовать разработанную ранее классификацию типичных рисков. Такую структуру можно разработать с помощью составления иерархической структуры рисков (ИСРс) (рис. 11-4), но ту же задачу можно решить, просто составив перечень различных аспектов проекта. В процессе идентификации рисков категории рисков могут пересматриваться. Хорошей практикой считается пересмотр категорий рисков во время планирования управления рисками, перед тем как эти категории будут использованы в процессе идентификации рисков. Прежде чем принять к использованию в текущем проекте классификацию рисков, основанную на прежних проектах, ее, вероятно, потребуется уточнить, изменить или адаптировать к специфике нового проекта.
• Определение вероятности возникновения рисков и их последствий. Добросовестный и достоверный качественный анализ рисков предполагает, что определены различные уровни вероятностей возникновения рисков и их воздействия. Общие определения уровней вероятности и уровней воздействия адаптируются отдельно для каждого проекта в ходе процесса планирования управления рисками и используются затем в процессе качественного анализа рисков (раздел 11.3).

Рисунок 11-4. Пример иерархической структуры рисков (ИСРс)

Шкала оценки воздействия отражает значимость воздействия (негативного для угроз или позитивного для благоприятных возможностей) риска в случае его возникновения. Шкала оценки воздействия может различаться в зависимости от потенциально затронутой риском цели, типа и размера проекта, принятыми в организации стратегиями и ее финансовым состоянием, а также от чувствительности организации к конкретному виду воздействий. Относительная шкала последствий содержит только описательные обозначения, например "очень низкий", "низкий", "средний", "высокий" и "очень высокий", расположенные в порядке возрастания максимальной силы воздействия риска согласно определению данной организации. То же самое можно сделать иначе, путем присвоения данным последствиям цифровых значений. Эти цифровые значения могут быть линейными (например, 0,1 - 0,3 - 0,5 - 0,7 - 0,9) или нелинейными (например, 0,05 - 0,1 - 0,2 - 0,4 - 0,8). Нелинейная шкала может отражать намерение организации избежать угроз, имеющих серьезное воздействие, или использовать наиболее благоприятные возможности, даже если вероятность из возникновения относительно низка. При использовании нелинейной шкалы важно понимать, что цифры означают и каково их отношение друг к другу, как эти цифры получены и как они могут повлиять на различные цели проекта.

На рис. 11-5 приведен пример определений негативных последствий, которые можно использовать при оценке воздействия рисков на четыре цели проекта. На рисунке представлены как относительный, так и цифровой (в данном случае нелинейный) способы обозначения. Цель этого рисунка не в том, чтобы показать, что относительные и цифровые обозначения равнозначны, а в том, чтобы проиллюстрировать две возможности в одной таблице, а не в двух.

• Матрица вероятности и последствий. Расстановка рисков по приоритету соответствует потенциальной степени значимости их последствий для достижения целей проекта. Типичным способом расположения рисков по приоритету является использование справочной таблицы или матрицы вероятности и последствий (см. рис. 11-8 и раздел 11.3.2.2). Обычно организация сама устанавливает сочетания вероятности и воздействия, на основании которых степень риска определяется как "высокая", "средняя" или "низкая", что в свою очередь определяет значимость для планирования реагирования на данный риск (раздел 11.5). Эти сочетания в процессе планирования управления рисками могут пересматриваться и адаптироваться к конкретному проекту.

 

Рисунок 11-5. Определение шкалы оценки воздействия для четырех целей проекта

• Уточненная толерантность к рискам участников проекта. В ходе процесса планирования управления рисками толерантность к риску участников проекта может корректироваться применительно к конкретному проекту.
• Формы отчетности. Дает описание содержания и формата реестра рисков (разделы 11.2, 11.3, 11.4 и 11.5), а также любых других требуемых отчетов по рискам. Содержит определение, каким образом производится документирование, анализ и обмен информацией о результатах процесса управления рисками.
• Отслеживание. Документирует порядок регистрации всех аспектов операций по рискам в интересах данного проекта, а также для будущих проектов и включения в документы по накопленным знаниям. Документирует, в каких случаях и как будет проводиться аудит процессов управления рисками.

11.2 Идентификация рисков

Идентификация рисков предусматривает определение рисков, способных повлиять на проект, и документальное оформление их характеристик. При необходимости в операциях по идентификации рисков могут принимать участие: менеджер проекта, члены команды проекта, команда управления рисками (если таковая создана), эксперты в определенных областях, не входящие в команду проекта, заказчики, конечные пользователи, другие менеджеры проектов, участники проекта и эксперты по вопросам управления рисками. Хотя главная роль в идентификации рисков принадлежит этим специалистам, следует поощрять участие в этом процессе всего персонала.

Идентификация рисков – это итеративный процесс, поскольку по мере развития проекта в рамках его жизненного цикла (раздел 2.1) могут обнаруживаться новые риски. Частота итерации и состав участников выполнения каждого цикла в каждом случае могут быть разными. В этом процессе должны принимать участие члены команды проекта с тем, чтобы у них вырабатывалось чувство "собственности" и ответственности за риски и за действия по реагированию на них. Участники проекта, не входящие в команду проекта, могут предоставлять дополнительную объективную информацию. Обычно за процессом идентификации рисков следует процесс качественного анализа рисков (раздел 11.3). В случае если идентификация рисков происходит под управлением опытного менеджера по рискам, непосредственно за идентификацией может следовать количественный анализ рисков (раздел 11.4). В некоторых случаях уже сама идентификация риска может определять меры реагирования; эти меры должны фиксироваться для дальнейшего анализа и осуществления в ходе процесса планирования реагирования на риски (раздел 11.5).

Рисунок 11-6. Идентификация рисков: входы, инструменты и методы, выходы

11.2.1 Идентификация рисков: входы

.1 Факторы внешней среды предприятия

При идентификации рисков может оказаться полезной информация из открытых источников, в том числе коммерческие базы данных, научные работы, бенчмаркинг и другие исследовательские работы в данной области (раздел 4.1.1.3).

.2 Активы организационного процесса

Информация о выполнении прежних проектов может быть доступна в архивах предыдущих проектов, как в ее исходном виде, так и в виде накопленных знаний (раздел 4.1.1.4).

.3 Описание содержания проекта

Допущения проекта приводятся в описании содержания проекта (раздел 5.2.3.1). Неопределенность в допущениях проекта следует рассматривать в качестве потенциального источника возникновения рисков проекта.

.4 План управления рисками

Ключевыми входами для процесса идентификации рисков из плана управления рисками являются схема распределения ролей и ответственности, резерв на операции по управлению рисками в бюджете и в расписании, а также категории рисков (раздел 11.1.3.1). Эти мероприятия иногда находят свое отражение в иерархической структуре ресурсов (рис. 11-4).

.5 План управления проектом

Для процесса идентификации рисков также необходимо понимание планов управления расписанием, стоимостью и качеством, которые входят в план управления проектом (раздел 4.3). Выходы процессов из других областей знаний должны анализироваться для идентификации возможных рисков в рамках всего проекта.

11.2.2 Идентификация рисков: инструменты и методы

.1 Анализ документации

Можно осуществлять структурированный анализ документации по проекту, включая планы, допущения, архив предыдущего проекта и другие источники. Качество планов, а также согласованность планов и их соответствие требованиям и допущениям проекта могут служить показателями возможности риска в проекте.

.2 Методы сбора информации

Для идентификации рисков могут использоваться следующие методы сбора информации:

• Мозговой штурм. Целью мозгового штурма является создание подробного списка рисков проекта. Обычно мозговой штурм проводит команда проекта, часто совместно с участием экспертов из разных областей, не являющихся членами команды. Генерация идей, относящихся к рискам проекта, происходит под руководством ведущего. За основу может приниматься система категорий рисков (раздел 11.1), например иерархическая структура рисков. Далее риски подлежат идентификации и категоризации по типам, а их определения – уточнению.
• Метод Дельфи. Метод Дельфи – это способ достижения консенсуса между экспертами. Данный метод предполагает, что эксперты по вопросам рисков проекта принимают в нем участие анонимно. С помощью опросного листа ведущий собирает идеи о важных рисках проекта. Составляются резюме ответов, которые потом возвращаются экспертам для дальнейших комментариев. Консенсуса можно достичь за несколько циклов этого процесса. Метод Дельфи помогает преодолеть необъективность в оценке данных и устраняет избыточное влияние отдельных лиц на результат работы.
• Опросы. Проведение опросов среди опытных сотрудников, принимающих участие в проекте, среди участников проекта и экспертов в этой области, может способствовать идентификации рисков. Результаты опросов являются одним из основных источников информации в процессе сбора данных об идентификации рисков.
• Идентификация основной причины. Это выявление наиболее существенных причин возникновения рисков проекта. Это позволяет дать более точные определения рискам и сгруппировать риски по причинам, их вызывающих. Реагирование на риски может быть эффективным только тогда, когда оно направлено на устранение основной причины возникновения риска.
• Анализ сильных и слабых сторон, возможностей и угроз (анализ SWOT) Этот метод позволяет провести анализ проекта с позиции каждой из указанных выше сторон, что дает более полное представление о рисках проекта.

.3 Анализ контрольных списков

Контрольные списки для идентификации рисков могут разрабатываться на основе исторической информации и знаний, накопленных в ходе исполнения прежних аналогичных проектов, а также из других источников. В качестве контрольного списка рисков можно также использовать самый нижний уровень иерархической структуры ресурсов. Хотя контрольный список может быть простым и легким для заполнения, но составить исчерпывающий контрольный список невозможно. Особое внимание следует уделять вопросам, которые не нашли своего отражения в контрольном листе. При закрытии проекта контрольный список следует пересматривать, чтобы оптимизировать его для использования в будущих проектах.

.4 Анализ допущений

Каждый проект задумывается и разрабатывается на основании ряда гипотез, сценариев и допущений. Анализ допущений представляет собой инструмент оценки обоснованности допущений по мере их применения в проекте. Данный анализ идентифицирует риски проекта, происходящие от неточности, несовместимости или неполноте допущений.

.5 Методы отображения с помощью диаграмм

К методам отображения рисков в виде диаграмм относятся:

• Диаграммы причинно-следственных связей (раздел 8.3.2.1). Эти графики, известные также как диаграмма Ишикавы или диаграммы типа "рыбий скелет", используются для идентификации причин возникновения рисков.
• Системная диаграмма или диаграмма зависимостей процесса. Этот вид графического отображения демонстрирует порядок взаимодействия различных элементов системы между собой и их причинно-следственные связи (раздел 8.3.2.3).
• Диаграммы влияния. Графическое представление ситуаций, отображающее взаимные влияния, временные связи событий и другие отношения между переменными и результатами.

11.2.3 Идентификация рисков: выходы

Обычно выходы идентификации рисков содержатся в документе, который можно назвать реестром рисков.

.1 Реестр рисков

Основные выходы процесса идентификации рисков – это начальные записи в реестре рисков, который становится элементом плана управления проектом (раздел 4.3). В конечном итоге, в реестр рисков заносятся выходы других процессов управления рисками по мере их завершения. Подготовка реестра рисков начинается в процессе идентификации рисков, в течение которого реестр заполняется указанной ниже информацией. Затем эта информация становится доступной при проведении других процессов, относящихся к управлению проектом или к управлению рисками проекта.

• Список идентифицированных рисков. В этом списке содержится перечень и описания идентифицированных рисков, включая основные причины их возникновения и неопределенные допущения проекта. Практически любая тема проекта может быть подвержена определенным рискам. Вот несколько примеров. Несколько видов работ по производству крупных комплектующих деталей, требующих длительного времени, расположены на критическом пути проекта. Риск может возникнуть тогда, когда разногласия в производственных отношениях в порту могут привести к задержке поставок комплектующих изделий, и, следовательно, к задержке сроков окончания строительства. Другим примером может оказаться ситуация, когда планом управления проектом предусмотрен штатный состав из десяти исполнителей, а доступные ресурсы насчитывают только шесть. Недостаток ресурсов может привести к увеличению периода времени, необходимого для завершения работ и к задержке выполнения плановых операций.
• Список потенциальных действий по реагированию. Потенциальные реагирования на риски могут быть определены в процессе идентификации рисков. Эти действия, в случае, когда они определены, могут быть полезны в качестве входов процесса планирования реагирования на риски (раздел 11.5).
• Основные причины возникновения риска. Такие причины представляют собой основополагающие условия или события, понимание которых может служить ключом к идентификации того или иного риска.
• Уточнение категорий рисков. В процессе идентификации список категорий рисков может пополняться новыми категориями. Возможно, на основании выходов процесса идентификации рисков понадобится расширить или уточнить иерархическую структуру ресурсов, разработанную в процессе планирования управления рисками.

11.3 Качественный анализ рисков

Качественный анализ рисков включает в себя расстановку приоритетов для идентифицированных рисков, результаты которой используются впоследствии, например, в ходе количественного анализа рисков (раздел 11.4) или планирования реагирования на риски (раздел 11.5). Организации могут существенно повысить эффективность исполнения проекта, сосредоточив усилия на рисках, обладающих наивысшим приоритетом. При качественном анализе рисков определяются приоритеты идентифицированных рисков на основании вероятности их возникновения, их влияния на достижение целей проекта в случае возникновения этих рисков, а также с учетом ряда других факторов (например, временных рамок и толерантности к риску, заложенной в ограничениях проекта по стоимости, расписанию, содержанию и качеству).

При помощи определения степени вероятности и воздействия, а также данных, полученных при опросах экспертов, можно скорректировать часто возникающую при выполнении данного процесса систематическую погрешность данных. При наличии плановых операций, выполнение которых очень плотно привязано к определенным временным промежуткам и подверженных воздействию риска, степень важности риска увеличивается многократно. Оценка качества доступной информации, относящейся к рискам проекта, также может способствовать пониманию степени значимости риска в данном проекте.

Качественный анализ рисков – это обычно быстрый и недорогой способ установки приоритетов в процессе планирования реагирования на риски, и, при необходимости, служит основой для проведения количественного анализа рисков. Качественный анализ рисков подлежит уточнению на протяжении всего жизненного цикла проекта и должен отражать все изменения, относящиеся к рискам проекта. Для проведения качественного анализа рисков необходимы выходы процессов планирования управления рисками (раздел 11.1) и идентификации рисков (раздел 11.2). По окончании качественного анализа рисков можно переходить к количественному анализу рисков (раздел 11.4) или непосредственно к планированию реагирования на риски (раздел 11.5).

Рисунок 11-7. Качественный анализ рисков: входы, инструменты и методы, выходы

11.3.1 Качественный анализ рисков: входы

.1 Активы организационного процесса

В процессе качественного анализа рисков могут использоваться данные о рисках в предыдущих проектах и база накопленных знаний.

.2 Описание содержания проекта

В стандартных или периодически повторяющиеся проектах с каждым разом появляется больше хорошо понимаемых рисков. Для проектов, основанных на последних достижениях технологии или впервые использующих какую-либо технологию, а также для очень сложных проектов характерна высокая степень неопределенности. Степень неопределенности можно оценить при изучении описания содержания проекта (раздел 5.2.3.1).

.3 План управления рисками

Для качественного анализа рисков существенны следующие элементы плана управления рисками:

1. распределение ролей и ответственности в управлении рисками, бюджетом и плановыми операциями по управлению рисками;
2. категории рисков;
3. определение вероятности возникновения и возможных последствий;
4. матрица вероятности и последствий и
5. уточненная толерантность к риску участников проекта (а также факторы внешней среды предприятия, см. раздел 4.1.1.3).

Обычно эти входы адаптируются для конкретного проекта в ходе процесса планирования управления рисками. Если этих входов нет, их можно разработать в ходе процесса качественного анализа рисков.

.4 Реестр рисков

Ключевым элементом в реестре рисков для проведения качественно анализа рисков является список идентифицированных рисков (раздел 11.2.3.1).

11.3.2 Качественный анализ рисков: инструменты и методы

.1 Определение вероятности и воздействия рисков

Определение вероятности возникновения риска предполагает проведение исследований на предмет определения степени вероятности возникновения того или иного специфического риска в процессе выполнения проекта. При оценке воздействия риска определяется потенциальный эффект, который он может оказать на цель проекта (например, время, стоимость, содержание или качество), включая негативные воздействия для угроз и позитивные воздействия для благоприятных возможностей.

Вероятность и воздействие оцениваются для каждого идентифицированного риска. Оценка рисков может производиться на основании результатов опросов или совместных совещаний со специалистами, выбранными по критерию осведомленности в области категоризации рисков. В число опрашиваемых могут входить члены команды проекта и, возможно, лица, не принимающие участие в проекте, но имеющие широкие познания в этой области. Проведение экспертных оценок является необходимостью, поскольку может оказаться, что информации о рисках, находящейся в базах данных организаций, и относящейся к прошлым проектам, недостаточно. Для проведения дискуссий, возможно, потребуется помощь опытного ведущего, так как участники могут обладать недостаточным опытом в оценке рисков.

На основании результатов опросов или встреч производится определение степени вероятности возникновения и воздействия каждого риска на цели проекта. Фиксируется также пояснительная информация, включая допущения, использованные для определения уровней рисков. Вероятность возникновения и воздействия рисков ранжируются в соответствии с определениями, представленными в плане управления проектом (раздел 11.1.3.1). В некоторых случаях, риски с явно низкой степенью вероятности возникновения и воздействия в рейтинг рисков не включаются, но включаются в список рисков, за которыми в дальнейшем ведется наблюдение.

.2 Матрица вероятности и последствий

Расстановка приоритетов рискам для последующего количественного анализа (раздел 11.4) и реагирования (раздел 11.5) осуществляется на основании рейтинга рисков. Присвоение риску определенного места происходит на основе оценок их вероятностей возникновения и последствий (раздел 11.3.2.2). Оценка важности рисков и, следовательно, приоритетности для обработки обычно осуществляется при помощи таблицы соответствия или матрицы вероятности и последствий (раздел 11-8). Такая матрица содержит комбинации вероятности и воздействия, при помощи которых рискам присваивается определенный ранг: низкий, средний или высший приоритет. В зависимости от предпочтений организации, матрица может содержать описательные термины или цифровые обозначения.

Организация должна определить, какие комбинации вероятности и воздействия соответствуют высокому риску ("красная зона"), среднему риску ("желтая зона") или малому риску ("зеленая зона"). В черно-белой матрице эти условия могут обозначаться различными оттенками серого цвета. В матрице, изображенной на рис. 11-8, область темно-серого цвета (наивысшие цифровые значения) обозначает высокий уровень риска, область среднего по интенсивности серого цвета (наименьшие цифровые значения) обозначает низкий уровень риска, а область светло-серого цвета (средние по значению цифровые обозначения) обозначает средний уровень риска. Обычно эти правила по определению рейтинга рисков устанавливаются в организации до начала проекта и включаются в активы организационного процесса (раздел 4.1.1.4). Правила определения ранга рисков могут дорабатываться применительно к каждому конкретному проекту в процессе планирования управления рисками (раздел 11.1).

Для данных целей также часто используется матрица вероятности и последствий, например, такая, которая изображена на рис. 11-8.

Рисунок 11-8. Матрица вероятности и последствий

Как показано на рис. 11-8, организация может определять ранг каждого риска отдельно для каждой цели (например, для стоимости, времени или содержания). Кроме того, организация может устанавливать способы определения общего рейтинга для каждого риска. И, наконец, управление угрозами и благоприятными возможностями может осуществляться при помощи той же матрицы и определений различных уровней последствий.

Ранг риска помогает управлять реагированием на риски. Например, для рисков, оказывающих в случае возникновения негативное воздействие на цели проекта (угрозы), а потому расположенных в зоне высокого риска (темно-серого цвета) матрицы, необходимы предупредительные операции и агрессивная стратегия реагирования. Для угроз, расположенных в зоне низкого риска (средний по интенсивности серый цвет), осуществление предупредительных операций может не потребоваться. Достаточно того, что они помещены в список для наблюдения или добавлены в резерв непредвиденных обстоятельств.

То же самое касается и благоприятных возможностей: те, которые можно получить легче всего и обещают наибольшую выгоду (они находятся в зоне высокого риска – темно-серого цвета), должен быть присвоен наибольший приоритет. За благоприятными возможностями, находящимися в зоне низкого риска (средний по интенсивности серый цвет), следует установить наблюдение.

.3 Оценка качества данных риска

Для того, чтобы результаты качественного анализа рисков были надежны, необходимы точные и непредвзятые данные. Анализ качества данных риска представляет собой технологию оценки полезности данных о рисках для управления проектом. Анализ включает в себя изучение глубины понимания риска, а также точности, качества, надежности и целостности данных о риске.

Использование низкого качества данных о риске может привести к тому, что результаты качественного анализа рисков окажутся мало пригодными для использования в проекте. При отсутствии качественных данных, возможно, потребуется сбор новых, более высоких по качеству данных. Часто сбор информации о рисках вызывает немало трудностей и требует большего по количеству времени и ресурсов, нежели предусмотрено первоначальным планам.

.4 Классификация рисков

Для определения областей проекта, наиболее уязвимых для неопределенности, риски проекта можно классифицировать по источнику риска (например, с помощью ИСРс), по области проекта, которую затрагивает риск (например, с помощью ИСР) или по какому-либо иному критерию (например, по фазе проекта). Эффективную систему реагирования на риски можно разработать на основе группировки рисков по их главным причинам.

.5 Оценка срочности риска

Риски, требующие немедленного реагирования, могут рассматриваться как наиболее срочные для принятия ответных мер. Показателями приоритетности могут являться время реагирования на риск, симптомы и признаки риска, а также ранг риска.

11.3.3 Качественный анализ рисков: выходы

.1 Реестр рисков (обновления)

Создание реестра рисков начинается в процессе идентификации рисков. Обновление реестра рисков происходит на основе информации, получаемой от качественного анализа рисков, а затем обновленный реестр рисков включается в план управления проектом. Обновления реестра рисков на основе информации, получаемой от качественного анализа рисков, включает в себя:

• Относительное ранжирование или список приоритетов рисков проекта. Для классификации рисков в соответствии с их индивидуальной значимостью может использоваться матрица вероятности и последствий. Затем менеджер проекта может использовать список рисков, расставленных по приоритетности, чтобы сосредоточить особое внимание на тех из них, которые имеют высокую значимость для проекта, а реагирование на риски может дать наилучший результат. Риски могут быть расставлены по приоритетности отдельно для стоимости, времени, содержания, и качества, поскольку организации могут по-разному оценивать значимость одних целей проекта по отношению к другим. Описание основы для оценки вероятности и воздействия должно быть включено в перечень оцененных рисков, поскольку это важно для проекта.
• Риски, сгруппированные по категориям. Группирование рисков по категориям может выявить общие для них основные причины или те области проекта, на которые следует обратить особое внимание. Выявление концентрации рисков позволяет повысить эффективность реагирования на риски.
• Список рисков, требующих немедленного реагирования. Риски, требующие немедленного реагирования, и риски, реагирование на которые можно выполнить позже, могут быть помещены в разные группы.
• Список рисков для дополнительного анализа и реагирования. Некоторые риски могут потребовать дополнительного рассмотрения (включая количественный анализ рисков), а также дополнительных ответных действий.
• Список рисков с низким приоритетом, нуждающихся в наблюдении. Риски, которые в результате качественного анализа рисков не получили высокого приоритета, могут быть помещены в список для дальнейшего постоянного за ними наблюдения.
• Тренды результатов качественного анализа рисков. По мере выполнения повторных анализов могут проясниться тренды определенных рисков, что может служить основанием для определения срочности реагирования на эти риски или необходимости дополнительного рассмотрения.

11.4 Количественный анализ рисков

Количественный анализ производится в отношении тех рисков, которые в процессе качественного анализа рисков были квалифицированы как потенциально или существенным образом влияющие на конкурентоспособные свойства проекта. В процессе количественного анализа рисков оценивается эффект от таких рисковых событий и таким рискам присваивается цифровой рейтинг. Данный анализ также представляет количественный подход к принятию решений в условиях неопределенности. В ходе этого процесса используются такие методы, как моделирование Монте-Карло и анализ дерева решений; они используются для:

• Определения количества возможных выходов проекта и степени их вероятности
• Оценки вероятности достижения конкретных целей проекта
• Идентификации рисков, требующих наибольшего внимания, путем количественной оценки их относительного вклада в общий риск проекта
• Определения реалистичных и достижимых целей по стоимости, расписанию или содержанию с учетом рисков проекта
• Определения лучшего решения по управлению проектом в ситуации, когда некоторые условия или выходы остались неопределенными

Количественный анализ рисков обычно выполняется после качественного анализа рисков, хотя опытные менеджеры проектов иногда проводят количественный анализ сразу после идентификации рисков. В некоторых случаях для разработки эффективных ответных мер реагирования на риски, проведение количественного анализа рисков не требуется. Выбор метода (методов) анализа в каждом конкретном проекте определяется наличием времени и бюджетом, а также потребностью в качественной или количественной констатации рисков и их последствий. Чтобы определить насколько успешно (и успешно ли) снизился общий риск проекта, после планирования реагирования на риски необходимо провести повторный количественный анализ рисков, а также часть мониторинга и управления рисками. Анализ трендов может указать на необходимость проведения большей или меньшей по масштабу операции по управлению рисками. Это является входом процесса планирования реагирования на риски.

Рисунок 11-9. Количественный анализ рисков: входы, инструменты и методы, Выходы

11.4.1 Количественный анализ рисков: входы

.1 Активы организационного процесса

Информация о предыдущих, схожих с текущим проектах, результаты изучения схожих проектов специалистами по рискам и базы данных рисков, которые могут быть доступны из промышленных или частных источников.

.2 Описание содержания проекта

Описание см. в разделе 5.2.3.1.

.3 План управления рисками

Для количественного анализа рисков существенны следующие элементы плана управления рисками:

1. распределение ролей и ответственности в управлении рисками, бюджетом и плановыми операциями по управлению рисками;
2. категории рисков;
3. иерархическая структура ресурсов
4. уточненная толерантность к риску участников проекта.

.4 Реестр рисков

Ключевыми элементами реестра рисков для количественного анализа рисков являются: список идентифицированных рисков, относительное ранжирование или список приоритетов рисков проекта, а также риски, сгруппированные по категориям.

.5 План управления проектом

План управления проектом включает в себя:

• План управления расписанием проекта. План управления расписанием проекта устанавливает формат и критерии для разработки и контроллинга расписания проекта (описание см. в водной части главы 6).
• План управления стоимостью проекта. План управления стоимостью проекта устанавливает формат и критерии для планирования, структурирования, оценки, разработки бюджета и контроллинга расходов проекта (описание см. в водной части главы 7).

11.4.2 Количественный анализ рисков: инструменты и методы

.1 Методы сбора и представления данных

• Опросы. Опросы используются для количественной оценки вероятности наступления и воздействия рисков на цели проекта. Требуемая информация зависит от используемого типа вероятностного распределения. Например, для некоторых широко используемых моделей распределений надо собрать информацию об оптимистическом (низкий), пессимистическом (высокий) и наиболее вероятном сценарии, а для других моделей – информацию о средних и стандартных отклонениях. Примеры оценок по трем точкам для стоимостной оценки показаны на рис. 11-10. Документирование обоснований ранжирования рисков является важным компонентом опросов по рискам, поскольку эти документы могут содержать информацию о надежности и достоверности анализов.

Рисунок 11-10. Диапазон стоимостных оценок проекта по результатам опроса по рискам

• Распределение вероятностей. Непрерывное распределение вероятностей представляет собой неопределенность значений, например, продолжительность плановых операций и стоимость элементов проекта. Для представления неопределенных событий может использоваться дискретное распределение, например, результаты испытаний или возможный сценарий дерева решений. На рис. 11-11 представлены два примера широко используемых непрерывных распределений. Эти асимметричные распределения описывают такие формы, которые сочетаются с данными, обычно получаемыми в результате анализа рисков проекта. Равномерное распределение можно использовать в тех случаях, когда между указанными верхней и нижней границей нет предпочтительных значений, что бывает, например, на ранней стадии проектирования. 

Рисунок 11-11. Примеры широко используемых вероятностных распределений

• Экспертная оценка. Эксперты в этой области, как являющиеся сотрудниками организации, так и привлекаемые со стороны (например, эксперты в области инженерии или статистики), подтверждают правильность данных и методов.

.2 Методы количественного анализа рисков и моделирования

Наиболее распространенными методами количественного анализа являются:

• Анализ чувствительности Анализ чувствительности помогает определить, какие риски обладают наибольшим потенциальным влиянием на проект. В процессе анализа устанавливается, в какой степени неопределенность каждого элемента проекта отражается на исследуемой цели проекта, если остальные неопределенные элементы принимают базовые значения. Один из типичных способов отображения результатов анализа чувствительности – это диаграмма торнадо, которая полезна при сравнении относительной важности переменных, обладающих высокой степенью неопределенности, с другими, более стабильными переменными.
• Анализ ожидаемой денежной стоимости. Анализ ожидаемой денежной стоимости (ОДС) – это статистическое понятие, при помощи которого рассчитывается средний результат для случаев, когда будущее включает в себя сценарии, которые нельзя с уверенностью предсказать (т. е. анализ в условиях неопределенности). Обычно ОДС благоприятных возможностей выражается в положительных величинах, а риски – в отрицательных величинах. Расчет ОДС производится путем умножения значения каждого возможного результата на вероятность его появления, а затем полученные значения суммируются. Чаще всего такой тип анализа используется в анализе дерева решений (рис. 11-12). Для анализа рисков стоимости и расписания рекомендуется применять моделирование, так как этот метод более эффективен и менее подвержен вероятности неправильного применения, чем анализ ожидаемой денежной стоимости.
• Анализ дерева решений. Обычно структура анализа дерева решений строится на основе диаграммы дерева решений (рис. 11-12), которая описывает рассматриваемую ситуацию с учетом каждой из имеющихся возможностей выбора и возможного сценария. Она объединяет стоимость каждой возможности выбора, вероятность возникновения каждого возможного сценария, а также вознаграждения за каждый альтернативный логический путь. Построение дерева решений дает возможность провести анализ ОДС (или иные мероприятия, представляющие интерес для организации) по каждой альтернативе при условии, что все вознаграждения и соответствующие решения уже имеют количественное выражение.

Рисунок 11-12. Диаграмма дерева решений

• Моделирование и имитация. При моделировании проекта используется модель для определения последствий от воздействия подробно описанных неопределенностей на результаты проекта в целом. Моделирование обычно проводится с помощью метода Монте-Карло. При моделировании модель проекта рассчитывается множество раз (итеративно), при этом входы рандомизированы из функции распределения вероятности (например, стоимость элементов проекта или продолжительность плановых операций), выбранной для каждой итерации из распределения вероятности каждой переменной. Рассчитывается распределение вероятностей (например, общая стоимость или дата завершения).

При анализе стоимости рисков в качестве модели при моделировании можно использовать традиционную ИСР (раздел 5.3.3.2) или иерархическую структуру стоимости. Для анализа рисков расписания используется диаграмма, построенная по методу предшествования (раздел 6.2.2.1). Результаты моделирования стоимостных рисков представлены на рис. 11-13.

Рисунок 11-13. Результаты моделирования стоимостных рисков

11.4.3 Количественный анализ рисков: выходы

.1 Реестр рисков (обновления)

Формирование реестра рисков начинается в процессе идентификации рисков (раздел 11.2), а в процессе качественного анализа рисков (раздел 11.3) происходит его обновление. Дальнейшее обновление реестра рисков происходит во время количественного анализа рисков. Реестр рисков является компонентом плана управления проектами. Обновлению подлежат следующие основные элементы:

• Вероятностный анализ проекта. В процессе вероятностного анализа проекта производится оценка потенциальных выходов расписания проекта и стоимости, составляется перечень контрольных дат завершения и стоимости, а также данной информации присваиваются соответствующие уровни конфиденциальности. Этот выход, обычно выражаемый в виде распределения кумулятивных вероятностей, используется вместе с толерантностью к риску участников проекта для количественной оценки стоимостной и временной составляющих резерва на непредвиденные обстоятельства. Такие резервы на непредвиденные обстоятельства необходимы для сведения до приемлемого для организации уровня риска перерасхода по отношению к заявленным целям проекта. Например, на рис. 11-13 стоимость непредвиденных обстоятельств 75-го процентиля составляет $9, или около 22% по сравнению с суммой $41, которая получается по оценкам наибольшей вероятности.
• Вероятность достижения целей по стоимости и времени. Когда проект сталкивается с рисками, при помощи результатов количественного анализа рисков можно оценить вероятность достижения целей проекта на фоне текущих плановых показателей. Например, на рис. 11-13 вероятность достижения стоимостной оценкой в $41 (рис. 11-10) равна примерно 12%.
• Список приоритетных оцененных рисков. В этот список включены риски, которые представляют наибольшую угрозу или наилучшие благоприятные возможности проекту. Среди них имеются риски, которые требуют максимальных средств на непредвиденные обстоятельства и те, которые обладают наибольшей степенью вероятности оказать влияние на критический путь.
• Тренды результатов количественного анализа рисков. По мере проведения повторных анализов, тренды могут становиться все более очевидными, а это может способствовать принятию решений, влияющих на реагирование на риски.

11.5 Планирование реагирования на риски

Планирование реагирования на риски – это процесс разработки путей и определения действий по увеличению возможностей и снижению угроз для целей проекта. Данный процесс начинается после проведения качественного анализа рисков и количественного анализа рисков. Он включает в себя определение и назначение одного или нескольких ответственных лиц ("ответственных за реагирование на риски"), в обязанности которых входит реагировать на каждый согласованный и подкрепленный бюджетом риск. В планировании реагирования на риски рассматриваются риски согласно их приоритетам; при необходимости новые ресурсы и операции добавляются в планы управления стоимостью, расписанием и проектом.

Запланированные операции по реагированию на риски должны соответствовать серьезности риска, быть экономически эффективными в решении проблемы, своевременными, реалистичными в контексте проекта и согласованными со всеми участниками, а выполнение мероприятий должно быть возложено на ответственное лицо. Часто требуется выбор наилучшего способа реагирования на риски из нескольких возможных вариантов.

В разделе "Планирование реагирования на риски" представлены наиболее часто используемые подходы к планированию реагирования на риски. Риски включают в себя угрозы и благоприятные возможности, способные влиять на успешность выполнения проекта, а способы реагирования рассматриваются для каждого типа отдельно.

Рисунок 11-14. Планирование реагирования на риски: входы, инструменты и методы, выходы

11.5.1 Планирование реагирования на риски: входы

.1 План управления рисками К важным элементам плана управления рисками относятся: распределение ролей и ответственности, определения анализов риска, пороги рисков (низкий средний и высокий уровень), время и бюджет, необходимые для выполнения мероприятий по управлению рисками проекта.

К выходам процесса планирования управления рисками, которые являются важными входами для планирования реагирования на риски, относятся: вероятностный анализ проекта, вероятность достижения целей проекта по времени и стоимости, список приоритетных оцененных рисков и тренды, обнаруженные в результатах количественного анализа рисков.

.2 Реестр рисков

Первоначально реестр рисков формируется в процессе идентификации рисков, затем обновляется во время проведения качественного и количественного анализов рисков. При разработке реагирования на риски в ходе процесса планирования реагирования на риски может возникнуть необходимость обращения к информации об идентифицированных рисках, основным причинам возникновения рисков, списку потенциальных мероприятий по реагированию на риски, списку ответственных за риски, симптомам и признакам рисков.

К важным входам процесса планирования реагирования на риски относятся:

1. относительный рейтинг или список рисков проекта, упорядоченных по приоритетности,
2. список рисков, требующих немедленного реагирования,
3. список рисков, нуждающихся в проведении дополнительных анализов и реагировании,
4. тренды результатов качественного анализа рисков,
5. основные причины рисков,
6. риски, сгруппированные по категориям,
7. список рисков, обладающих низким приоритетом, за которыми следует вести наблюдение.

Дальнейшее обновление реестра рисков происходит во время количественного анализа рисков.

11.5.2 Планирование реагирования на риски: инструменты и методы

Существует несколько стратегий реагирования на риски. Для каждого риска необходимо выбрать стратегию или комбинацию из различных стратегий, представляющуюся наиболее эффективной для работы с ним. Для выбора наиболее адекватного способа реагирования на риски можно воспользоваться инструментами анализа рисков (например, анализом дерева решений). Затем необходимо разработать конкретные мероприятия по внедрению выбранной стратегии. Возможно определить основную и резервную стратегии. На случай, если выбранная стратегия не сработает или окажется мало эффективной, а также, если возникнет принятый риск, можно разработать и задействовать резервный план. Часто выделяется резерв на непредвиденные обстоятельства по времени и стоимости. И, наконец, можно разрабатывать планы на непредвиденные обстоятельства вместе с определением условий, при которых эти планы вводятся в действие.

.1 Стратегии реагирования на негативные риски (угрозы)

Существуют три типичных стратегии реагирования на появление угроз или рисков, способных оказать негативное влияние на достижение результатов проекта. Такими стратегиями являются: уклонение, передача или снижение.

• Уклонение. Уклонение от риска предполагает изменение плана управления проектом таким образом, чтобы исключить угрозу, вызванную негативным риском, оградить цели проекта от последствий риска или ослабить цели, находящиеся под угрозой (например, расширить рамки расписания или уменьшить содержание проекта). Некоторые риски, возникающие на ранних стадиях проекта, можно избежать при помощи уточнения требований, получения информации, улучшения коммуникации или проведения экспертизы.
• Передача. Передача риска подразумевает переложение негативных последствий угрозы с ответственностью за реагирование на риск на третью сторону. Передача риска просто переносит ответственность за его управление другой стороне; риск при этом не устраняется. Передача ответственности за риск является наиболее эффективной в отношении финансовых рисков. Передача риска практически всегда предполагает выплату премии за риск стороне, принимающей на себя риск. Инструменты передачи рисков многочисленны и разнообразны; они включают в себя, в частности, использование страховки, гарантии выполнения контракта, гарантийные обязательства и т. д. Условия передачи ответственности за определенные риски третьей стороне могут определяться в контракте. Во многих случаях в контракте с оплатой фактических издержек затраты на риски могут перекладываться на покупателя, а в контракте с фиксированной ценой риск может перекладываться на продавца, если разработка проекта уже находится в стабильном состоянии.
• Снижение. Снижение рисков предполагает понижение вероятности и/или последствий негативного рискованного события до приемлемых пределов. Принятие предупредительных мер по снижению вероятности наступления риска или его последствий часто оказываются более эффективными, нежели усилия по устранению негативных последствий, предпринимаемые после наступления события риска. В качестве примеров мероприятий по снижению рисков можно привести: внедрение менее сложных процессов, проведение большего количества испытаний или выбор поставщика, поставки которого носят более стабильный характер. Для снижения рисков может потребоваться разработка прототипа, на основе которого производится пропорциональное увеличение вероятности риска от стендовой модели до процесса или продукта. Если невозможно снизить вероятность, ослабление риска должно быть направлено на последствия риска, а именно на те связи, которые определяют их серьезность. Например, разработка дублирующей подсистемы может сократить последствия отказа основной системы.

.2 Стратегии реагирования на позитивные риски (благоприятные возможности)

Ниже предлагаются три способа реагирования на риски, имеющие потенциально положительные последствия на цели проекта: использование, совместное использование, усиление.

• Использование. Эта стратегия может быть выбрана для реагирования на риски с позитивным воздействием, если необходимо, чтобы данная благоприятная возможность гарантированно была бы реализована. Данная стратегия предназначена для устранения всех неопределенностей, связанных с риском верхнего уровня, при помощи мер, обеспечивающих появление данной благоприятной возможности в различных формах. К числу мер прямого реагирования на данную возможность относятся: привлечение к участию в проекте более талантливого персонала с тем, чтобы сократить время, необходимое для его завершения, либо обеспечение более высокого качество, нежели было предусмотрено первоначальным планом.
• Совместное использование. Совместное использование позитивных рисков предусматривает передачу ответственности третьей стороне, способной наилучшим образом воспользоваться представившейся благоприятной возможностью в интересах проекта. К числу мероприятий с совместным использованием благоприятных возможностей относятся: образование партнерств с совместной ответственностью за риски, команд, специализированных компаний или совместных предприятий, созданных специально для управления благоприятными возможностями.
• Усиление. При применении этой стратегии изменяется "размер" благоприятной возможности путем повышения вероятности возникновения и/или положительного воздействия, а также путем выявления и максимизации основных источников этих позитивных рисков. Для повышения этой вероятности можно попытаться облегчить или укрепить причину, вызывающую благоприятную возможность, и целенаправленно усилить условия ее появления. Можно также повлиять на источники воздействия, стараясь повысить чувствительность проекта к этой благоприятной возможности.

.3 Общая стратегия реагирования на угрозы и благоприятные возможности Принятие:

Эта стратегия используется в тех случаях, когда исключить все риски из проекта мало вероятно. Эта стратегия означает, что команда проекта приняла решение не изменять план проекта в связи с риском, либо не нашла иной подходящей стратегии реагирования на риски. Эта стратегия применима либо к угрозам, либо к благоприятным возможностям. Она может быть либо активной, либо пассивной. Пассивное принятие данной стратегии не предполагает проведения каких-либо предупредительных мероприятий, оставляя команде проекта право действовать по собственному усмотрению в случае наступления события риска. Наиболее распространенной формой активного принятия данной стратегии является создание резерва на непредвиденные обстоятельства, который включает в себя время, деньги или ресурсы для управления известными – или, в некоторых случаях, потенциальными и даже неизвестными – угрозами и благоприятными возможностями.

.4 Стратегия реагирования на непредвиденные обстоятельства Некоторые способы реагирования предназначены для использования только в случае возникновения определенных событий. Применительно к некоторым рискам, команда проекта может задействовать план реагирования на риски, который может быть введен в действие только при заранее определенных условиях – если есть уверенность и достаточное количество признаков того, что данный план будет успешно выполнен. Необходимо определить и отслеживать события, которые приводят в действия механизм реагирования на непредвиденные обстоятельства, например, отсутствие промежуточных контрольных событий или присвоение определенному поставщику высокого уровня приоритетности.

11.5.3 Планирование реагирования на риски: выходы

.1 Реестр рисков (обновления)

Первоначально реестр рисков формируется в процессе идентификации рисков, затем обновляется во время проведения качественного и количественного анализа рисков. В процессе планирования реагирования на риски выбираются соответствующие способы реагирования на риски, утверждаются и включаются в реестр рисков. Реестр рисков должен быть составлен таким образом, чтобы его уровень детализации информации соответствовал ранжированию по приоритетам и плановым действиям по реагированию на риски. Обычно риски высокого и среднего уровней приоритета описываются подробно. Риски, которым присвоен низкий уровень приоритета, включаются в список для периодического наблюдения. К элементам реестра рисков из данной области могут относиться:

• Идентифицированные риски, их описания, области проекта, на которые они влияют (например, элемент ИСР), причины рисков (например, компонент ИСРс) и как они могут повлиять на цели проекта
• Лица, ответственные за риски, их ответственность
• Выходы качественного и количественного анализов, включая список рисков проекта, упорядоченных по приоритетности, и вероятностный анализ проекта
• Согласованные стратегии реагирования на риски
• Конкретные действия, необходимые для применения выбранной стратегии реагирования
• Симптомы и признаки возникновения риска
• Бюджет и плановые операции, необходимые для выполнения выбранных способов реагирования на риски
• Временной и бюджетный резервы на непредвиденные обстоятельства, предназначенные для обеспечения толерантности к риску участников проекта
• Планы на случай возникновения непредвиденных обстоятельств и условия, при которых они вводятся в действие
• Резервные планы, используемые в качестве ответной реакции на возникновение риска в случае, если первоначальное реагирование на риск оказалось неадекватным
• Остаточные риски, оставшиеся после планового реагирования на риски, а также те, которые были приняты сознательно
• Вторичные риски, возникающие в результате применения реагирования на риски
• Резервы на непредвиденные обстоятельства, рассчитанные на основе данных количественного анализа проекта и порогов рисков организации.

.2 План управления проектом (обновления)

Обновление плана управления проектом происходит по мере добавления плановых операций реагирования на риски, прошедших проверку и расположенных в определенном порядке в процессе общего управления изменениями (раздел 4.6). Общее управление изменениями производится в рамках процесса руководства и управления исполнением проекта (раздел 4.4) для того, чтобы гарантировать, что выполнение и контроль утвержденных операций являются частью текущего проекта. После утверждения стратегий реагирования на риски, информация о них должна поступить обратно на соответствующие процессы из других областей знаний, включая бюджет и расписание.

.3 Контрактные соглашения, касающиеся рисков

Чтобы четко определить ответственность каждой из сторон на случай возникновения каждого отдельного риска, составляются контрактные соглашения (например, договоры страхования, оказания услуг и др.).

11.6 Мониторинг и управление рисками

Плановые операции по реагированию на риски (раздел 11.5), включенные в план управления проектом, выполняются в течение жизненного цикла проекта, однако, в отношение работ проекта должен проводиться постоянный мониторинг и контроль на предмет обнаружения новых и измененных рисков.

Мониторинг и управление рисками (раздел 4.4) – это процесс идентификации, анализа и планирования вновь возникших рисков, отслеживания идентифицированных рисков и тех, которые отнесены в список для постоянного наблюдения, а также проверки и исполнения операций реагирования на риски и оценки их эффективности. В процессе мониторинга и управления рисками используются различные методики, например, анализ трендов и отклонений, для выполнения которых необходимы данные об исполнении, собранные в процессе выполнения проекта. Мониторинг и управление рисками, также как и другие процессы управления рисками, являются непрерывным процессом, происходящим на протяжении всего жизненного цикла проекта. Другие цели процесса мониторинга и управления рисками подлежат определению, если:

• Допущения проекта по-прежнему действительны
• Анализ трендов показал, что с момента первоначальной оценки состояние риска изменилось
• Надлежащим образом выполняются правила и процедуры управления рисками
• Резервы стоимости и расписания должны обновляться одновременно с изменениями рисков проекта.

Мониторинг и управление рисками может включать в себя выбор альтернативных стратегий, выполнение плана на случай возникновения непредвиденных обстоятельств и запасного плана, выполнение корректирующих действий и обновление плана управления проектом. Ответственный за реагирование на риск должен периодически отчитываться перед менеджером проекта об эффективности выполнения плана, о всех непредвиденных эффектах и корректировках, необходимых для надлежащего управления риском. Мониторинг и управление рисками также включает в себя обновление активов организационного процесса (раздел 4.1.1.4), включая базы данных накопленных знаний проекта и шаблоны управления рисками, которые понадобятся для будущих проектов.

Рисунок 11-15. Мониторинг и управление рисками: входы, инструменты и методы, выходы

11.6.1 Мониторинг и управление рисками : входы

.1 План управления рисками

У этого плана имеется несколько ключевых входов: назначения на должности, в том числе и лиц, ответственных за риски, время и другие ресурсы, предназначенные для управления рисками проекта.

.2 Реестр рисков

К ключевым входам реестра рисков относятся:

1. идентифицированные риски и лица, ответственные за риски,
2. утвержденные операции по реагированию на риски,
3. операции специального характера,
4. симптомы и признаки рисков,
5. остаточные и вторичные риски,
6. список рисков с низким приоритетом, подлежащих наблюдению,
7. временной и бюджетный резервы на непредвиденные обстоятельства.

.3 Одобренные запросы на изменение

Одобренные запросы на изменения (раздел 4.6.3.1) могут содержать изменения, касающиеся методов работы, условий контрактов, содержания и расписания. Одобренные изменения могут вызвать риски или изменения в идентифицированных рисках. Поэтому эти изменения подлежат анализу на предмет их воздействия на реестр рисков, план реагирования на риски или на план управления рисками. Все изменения должны быть документально оформлены. Любые изменения, обсуждавшиеся в устной форме, но не отраженные в официальных документах, не подлежат обработке и внесению в проект.

.4 Информация об исполнении работ

Информация об исполнении работ (раздел 4.4.3.7), включая статус результатов проекта, корректирующие действия и отчеты об исполнении, является важными входами процесса мониторинга и управления рисками.

.5 Отчеты об исполнении

Отчеты об исполнении (раздел 10.3.3.1) содержат информацию о выполнении работ проекта, например, результаты анализов, способных повлиять на процесс управления рисками.

11.6.2 Мониторинг и управление рисками: инструменты и методы

.1 Пересмотр рисков

В процессе мониторинга и управления рисками часто возникает необходимость в проведении идентификации новых рисков, и пересмотре известных рисков с использованием процессов, описанных в данной главе. Пересмотр рисков должен проводиться регулярно, согласно расписанию. Управление рисками проекта должно быть одним из пунктов повестки дня всех совещаний команды проекта. Объем и степень детализации повторений зависят от хода выполнения проекта по отношению к поставленным целям. Например, если возникает риск, отсутствующий в реестре рисков или в списке рисков, подлежащих наблюдению, или если его последствия на цели проекта отличаются от ожидаемых, то плановые мероприятия по реагированию на риски могут оказаться недостаточными. В этом случае для управления риском потребуется провести дополнительное планирование мероприятий по реагированию на риски.

.2 Аудит рисков

Аудит рисков предполагает изучение и предоставление в документальном виде результатов оценки эффективности мероприятий по реагированию на риски, относящихся к идентифицированным рискам, изучение основных причин их возникновения, а также оценку эффективности процесса управления рисками.

.3 Анализ отклонений и трендов

Тренды в процессе выполнения проекта подлежат проверке с использованием данных о выполнении. Для мониторинга выполнения всего проекта могут использоваться анализ освоенного объема (раздел 7.3.2.4) и другие методы анализа отклонений проекта и трендов. На основании выходов этих анализов можно прогнозировать потенциальные отклонения проекта на момент его завершения по показателям стоимости и расписания. Отклонения от базового плана могут указывать на последствия, вызванные угрозами или благоприятными возможностями.

.4 Техническое измерение исполнения

При техническом измерении исполнения сравниваются получаемые в процессе реализации проекта технические результаты с запланированными. Такие отклонения, как большие или меньшие функциональные возможности по отношению к запланированным на момент контрольного события, способствуют облегчению составлению прогноза о степени успешности в достижении целей содержания проекта.

.5 Анализ резервов

В процессе выполнения проекта могут возникнуть риски, оказывающие позитивное или негативное воздействие на бюджет или на резервы на непредвиденные обстоятельства (раздел 11.5.2.4). При анализе резервов для определения адекватности остатка резерва производится сравнение объема оставшихся резервов на непредвиденные обстоятельства с количеством оставшихся рисков по состоянию на любой момент времени процесса выполнения проекта.

.6 Совещания по текущему состоянию

Управление рисками проекта может быть одним из пунктов повестки дня периодических совещаний о текущем состоянии. В зависимости от идентифицированных рисков, их приоритетности и трудностей реагирования, этот пункт повестки дня может требовать большого количества времени или не требовать вовсе. Чем чаще применяется управление рисками, тем легче оно происходит, а частые обсуждения вопросов, связанных с рисками, делают разговоры о рисках, в особенности об угрозах, более легкими и точными.

11.6.3 Мониторинг и управление рисками: выходы

.1 Реестр рисков (обновления)

Обновленный реестр рисков включает в себя следующее:

• Результаты пересмотра рисков, аудита рисков и периодической проверки рисков. К этим результатам могут относиться обновления по вероятности, последствия, приоритеты, планы реагирования, ответственность за риски и другие элементы реестра рисков. В качестве результатов также могут рассматриваться закрытые риски, которые уже не применяются.
• Фактические результаты рисков проектов и результаты реагирования на риски, которые могут помочь менеджерам проектов в формировании планов рисков по всей организации, а также при планировании будущих проектов. Этим завершается документ по управлению рисками, который становится входом для процесса закрытия проекта (раздел 4.7) и частью документации по закрытию проекта.

.2 Запрошенные изменения

Применение резервных планов или обходов часто приводит к необходимости изменения плана управления проектом в ответ на риск. Запрошенные изменения подготавливаются и передаются процессу общего управления изменениями (раздел 4.6) в качестве выхода процесса мониторинга и управления рисками. Одобренные запросы на изменения оформляются документально и становятся входами процесса руководства и управления исполнением проекта (раздел 4.4), а также процесса мониторинга и управления рисками.

.3 Рекомендованные корректирующие действия

К рекомендованным корректирующим действиям относятся планы на непредвиденные обстоятельства и планы обходов. Последние не являются изначально запланированным реагированием на риски, но они необходимы для управления рисками, которые ранее не были идентифицированы или были приняты пассивно. Обходы должны быть должным образом задокументированы и включены в процесс руководства и управления исполнением проекта (раздел 4.4) и в процесс мониторинга и управления работами проекта (раздел 4.5). Рекомендованные корректирующие действия являются входами процесса общего управления изменениями (раздел 4.6).

.4 Рекомендованные предупреждающие действия

Рекомендованные предупреждающие действия используются для приведения проекта в соответствие с планом управления проектом.

.5 Активы организационного процесса (обновления)

Шесть процессов управления рисками проекта выдают информацию, которая может быть использована в будущих проектах и должна войти в состав активов организационного процесса (раздел 4.1.1.4). При завершении проекта можно обновить шаблоны плана управления рисками (в т. ч. матрицу вероятности и последствий) и реестр рисков. Риски можно оформить документально, а иерархическую структуру ресурсов обновить. Знания, накопленные в результате проведения операций по управлению рисками проекта, могут занять свое место в базе данных накопленных знаний организации. В базы данных организации также можно добавить информацию о фактической стоимости и продолжительности операций проекта. К активам организационного процесса также относятся окончательная версия реестра рисков, шаблоны плана управления рисками, контрольные списки и иерархические структуры рисков.

.6 План управления проектом (обновления)

Если одобренные запросы на изменения затрагивают процессы управления рисками, то необходимо обновить соответствующие части плана управления проектом и подготовить новую версию, чтобы эти одобренные изменения были там отражены.